tamu secreto Posted October 26, 2009 Share Posted October 26, 2009 Cuando alguien usa htmlentities(), lo he visto una y otra vez, espera que la filtracion de todas las variables de tipo XSS. Esto no es cierto, por supuesto, ya que la función requiere un segundo parámetro ENT_QUOTES que reemplaza a los caracteres de cita. Algunos desarrolladores ni siquiera son conscientes de que las comillas pueden llevar a XSS inyección.En todo prestashop se advierte el mal empleo de htmlentities, un caso de ejemplo es el login administrador - login.php :Tools::displayError('- Server:').' '.htmlentities($pathServer).deberia ser Tools::displayError('- Server:').' '.htmlentities($pathServer, ENT_QUOTES).saludos!! Link to comment Share on other sites More sharing options...
Recommended Posts